Zero Trust-Segmentierung auch für IoT- und OT-Umgebungen

Von Deepen Desai, CISO and Head of ThreatlabZ bei Zscaler

Da Unternehmen branchenübergreifend IoT- und OT-Technologien zu Gunsten gesteigerter Effizienz, Produktivität und Automatisierung einsetzen, attackieren Malware-Akteure Schwachstellen in diesen zunehmend vernetzten Systemen.

Von intelligenten Sensoren zur Optimierung von Fertigungsprozessen bis hin zu vernetzten Kameras zur Überwachung entfernter Standorte entwickeln sich IoT- und OT-Ökosysteme zu einem unverzichtbaren Bestandteil des Geschäftsbetriebs. Die weitverbreitete Integration von IoT- und OT-Systemen in essenzielle Arbeitsabläufe erhöht die Anforderungen an die Cybersicherheit allerdings erheblich.

Viele dieser Geräte sind in Umgebungen mit besonderen Herausforderungen eingebettet, beispielsweise in robusten Systemen, die unter rauen Bedingungen arbeiten müssen oder in Legacy-Systemen, die auf veralteten Protokollen basieren. Dies bietet Angreifern ideale Bedingungen, um Schwachstellen auszunutzen, ungepatchte Sicherheitslücken anzugreifen und IoT-Endpunkte zu missbrauchen, um in Unternehmensnetzwerke einzudringen oder den Betrieb zu stören.

Die folgenden fünf Sicherheitsvorkehrungen für IoT- und OT-Systeme sollten Sicherheitsteam deshalb für 2026 auf ihre Agenda setzen:

1. Zero Trust auch für 5G

Öffentliche und private 5G-Netzwerke werden ohne starke Zero Trust-Sicherheit anfällig bleiben. Über Mobilfunk angebundene IoT-Geräte und Mobilfunknetze werden auch in klassischen OT-Umgebungen zunehmend eingesetzt und erfordern dementsprechend ebenfalls Zero Trust-Frameworks, um diese Ökosysteme abzusichern. Die Sicherheit muss auf SIM- oder eSIM-Ebene eingebettet sein und präzise, kontextbezogene Kontrollen auf der Grundlage von Identität, Standort, Verhalten oder Risiko ermöglichen. Auf diese Weise kann der Betrieb von SIM-Karten auf bestimmte Länder oder Regionen beschränkt werden, um unbefugtes Roaming oder Datenexfiltration zu verhindern. Anomalieerkennung kann verdächtige Aktivitäten wie Versuche, auf nicht zugelassene Ressourcen zuzugreifen oder Verbindungen von unerwarteten Standorten herzustellen, aufdecken oder blockieren und so weltweit einen konsistenten Schutz ohne zusätzlichen Betriebsaufwand gewährleisten.

2. IoT- und OT-Ransomware vorbeugen

IoT- und OT-Ransomware-Angriffe auf kritische Sektoren wie den Energiesektor und das Gesundheitswesen werden auch 2026 anhalten. Da sich zunehmend mehr Organisationen von IoT- und OT-Umgebungen abhängig machen, rücken diese Ziele verstärkt in den Fokus von Angreifern. Sie werden ihre Taktiken weiterentwickeln unter Einsatz der Künstlichen Intelligenz, um Netzwerkabhängigkeiten auszunutzen und kritische Dienstleistungsbereiche zu stören, Daten abzugreifen oder Systeme zu kompromittieren. Dementsprechend müssen die Daten dieser Geräte unter besonderen Schutz gestellt werden, damit sich kritische Infrastrukturbetreiber nicht erpressbar machen.

3. Zero Trust-Segmentierung für IoT- und OT-Umgebungen

Eine Segmentierung nach Zero Trust-Prinzipien sollte auch in IoT- und OT-Umgebungen integriert werden, um Angriffsflächen zu reduzieren und der lateralen Ausbreitung von Angreifern einen Riegel vorzuschieben. Unternehmen können ihre IoT- und OT-Geräte mithilfe von Zero Trust-Frameworks in granulare Schichten isolieren. Jedes Gerät oder jede Gruppe von Geräten erhält dadurch eigene Validierungsanforderungen, die berechtigten Zugriff von Drittparteien zu Wartungszwecken ermöglicht, aber die Ausbreitung von Angreifern unterbindet, wenn Geräte kompromittiert sind. Durch diese granulare Segmentierung kommen Organisationen auch den Anforderungen an die Compliance nach.

4. Konsolidierung von IoT- und OT-Sicherheitssystemen

Unternehmen profitieren von einer Komplexitätsreduktion der Security-Infrastruktur, wenn sie die Sicherheit von IoT- und OT-Geräten mit Hilfe von Sicherheitsplattformen konsolidieren. Diese Plattformen ermöglichen eine durchgängige Zero Trust-Richtlinien-Durchsetzung, Gerätemikrosegmentierung, KI-basierte Erkennung von Anomalien und vereinheitlichte Transparenz über Edge-, Cloud- und 5G-Netzwerke hinweg, die auch die Zusammenarbeit der verantwortlichen Sicherheitsteams aller Abteilungen erleichtert.

5. Zero Trust auch für Router und Edge-Geräte

Darüber hinaus sollten Unternehmen Zero Trust-Frameworks ebenfalls für alle Geräte mit externen Angriffspunkten wie Router und Edge-Geräte einführen. Damit können sie die Ausbreitung von Botnets verhindern und sich gegen ständige Angriffe auf Schwachstellen verteidigen. Router und Gateways müssen dazu in isolierte Betriebszonen (DMZ) unterteilt werden und sich vor jeder Kommunikation mit größeren Unternehmensnetzwerken authentifizieren, wobei zur Validierung eine kontinuierliche Verhaltensanalyse durchgeführt wird.

Fazit

Die Angriffsfläche von Unternehmen wächst mit der Vernetzung verschiedenster Geräte zunehmend. Ein Zero Trust-Sicherheitsansatz, der sich bereits für User, Workloads und Niederlassungen bewährt habt, sollte 2026 auch auf IoT- und OT-Systeme ausgedehnt werden, um für ganzheitliche und vereinheitlichte Sicherheit zu sorgen, und damit zeitgleich zu einer Komplexitätsreduktion der gesamten IT-Architektur beizutragen.